다중 영역 키로 키 재질 가져오기 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다중 영역 키로 키 재질 가져오기

고유한 키 구성 요소를 다중 영역 키로 가져올 수 있습니다. 고유한 키 자료로 만든 다중 영역 키는 상호 운용이 가능합니다. 한 지역의 데이터를 암호화하고 관련 다중 지역 키를 사용하여 다른 리전에서 데이터를 해독할 수 있습니다.

그러나 키 자료를 관리해야 합니다.

  • AWS KMS는 기본 키의 키 재질을 가져온 키 재질과 해당 복제 키로 복사하거나 동기화하지 않습니다. 동일한 키 구성 요소를 기본 키와 복제본 키로 가져와야 합니다.

  • 키 자료를 가져올 때 각 키의 만료 모델과 만료 날짜를 독립적으로 설정합니다. 관련된 다중 리전 키에 대해 동일하거나 다른 만료 모델 및 만료 날짜를 구성할 수 있습니다. 키 자료가 만료 날짜에 가까워지면 키 재질을 영향을 받는 다중 리전 키로 다시 가져와야 합니다.

    관련 다중 리전 키의 키 상태는 서로 독립적입니다. 예를 들어 기본 키의 키 자료가 만료되면 해당 복제 키는 영향을 받지 않습니다.

동일한복제본 키의 리전 요구 사항가져온 키 구성 요소로 다중 리전 키에 적용됩니다. 동일한 키 재료를 단일 영역 CMK 또는 관련되지 않은 다중 영역 CMK로 가져오는 경우 이러한 CMK는상호 운용할 수 없습니다.

가져온 키 재질이 있는 다중 영역 키는대칭 CMK키 구성 요소 오리진EXTERNALAWS KMS에서 가져온 키 재질을 지원하지 않습니다.비대칭 CMK또는 CMK를 사용하려면사용자 지정 키 스토어. 또한 활성화할 수 없습니다.자동 키 교체가져온 키 구성 요소가있는 CMK입니다.

다중 영역 기능 외에도 가져온 키 재질이 있는 다중 영역 키는 가져온 키 재질이 있는 다른 CMK와 동일합니다. 키 구성 요소를 가져온 단일 리전 CMK를 생성하고 구성하는 방법은가져온 키 구성 요소 정보.

가져온 키 구성 요소를 가진 CMK가 상호 운용 가능하지 않은 이유는 무엇입니까?

단일 지역AWS KMS가져온 키 자료와 함께 CMK (고객 마스터 키) 는 동일한 키 자료가 있더라도 상호 운용할 수 없습니다. 일시AWS KMS는 CMK를 사용하여 데이터를 암호화하고 키 메타 데이터 중 일부를 암호문에 암호로 바인딩합니다. 이렇게 하면 암호화된 데이터가 해당 데이터를 해독할 수 있는 CMK만 암호문을 보호할 수 있습니다.

다중 지역 키는 상호 운용이 가능하도록 설계되었습니다. 키 자료가 같을 뿐만 아니라 키 ID 및 기타 메타데이터가 동일합니다. 따라서, 그들이 생성하는 암호문은 관련된 다중 지역 키에 의해 해독 될 수있다. 따라서 다중 지역 키의 신뢰 속성은 단일 지역 키의 신뢰 속성과 다릅니다. 그러나 일부 고객의 경우 여러 지역에서 암호 해독의 이점이 단일 CMK에 의존하는 암호문의 보안 가치보다 중요합니다. AWS 리전 .

가져온 키 구성 요소로 기본 키 만들기

키 구성 요소를 가져온 기본 키를 만들려면 먼저 키 구성 요소 없이 기본 키를 만드는 것으로 시작합니다. 그런 다음 키 구성 요소를 기본 키로 가져옵니다.

키 재질이 없는 다중 지역 기본 키를 만드는 절차는키 재질이 없는 단일 영역 키 만들기. 유일한 차이라면 다중 리전 키와 외부 키 구성 요소를 모두 지정한다는 점입니다.

가져온 키 자료로 다중 리전 기본 키를 만드는 권한은다중 지역 기본 키 만들기다음으로 바꿉니다.AWS KMS을 포함하여 키 구성 요소KMS:만들기 키iam:CreateServiceLinkedRole권한을 IAM 정책에서 사용합니다. 다음을 수행할 수 있습니다.KMS:다중 영역 키 유형kms:KeyOrigin조건 키를 사용하여 가져온 키 자료로 다중 지역 기본 키를 만들 수 있는 권한을 허용하거나 거부할 수 있습니다.

기본 키를 만들 때AWS KMS콘솔의 설정을 사용하려면고급 옵션섹션을 참조하십시오. Set키 구성 요소 오리진to외부. Set다중 리전 복제to이 키를 다른 지역으로 복제할 수 있도록 허용. CMK가 생성된 후에는 이러한 속성을 변경할 수 없습니다.

API 작업을 사용할 때OriginMultiRegion매개변수를 사용하여 외부 키 재질 원점이 있는 다중 영역 키를 만듭니다.

$ aws kms create-key --origin EXTERNAL --multi-region true

그 결과 키 자료가 없는 다중 리전 기본 키가 생성되고 키 상태가PendingImport.

이 CMK를 사용하려면 퍼블릭 키와 가져오기 토큰을 다운로드한 후 퍼블릭 키를 사용하여 키 구성 요소를 암호화한 다음 키 구성 요소를 가져와야 합니다. 지침은 AWS Key Management Service(AWS KMS)에서 키 구성 요소 가져오기 단원을 참조하십시오.

가져온 키 구성 요소로 복제본 키 생성

다중 리전 복제 키를 생성할 수 있는AWS KMS콘솔을 사용하거나AWS KMSAPI 작업을 수행합니다. 가져온 키 재질을 사용하여 다중 지역 기본 키를 복제하려면복제본 키 생성다음으로 바꿉니다.AWS KMS키 구성 요소. 그러나 결과는 다릅니다. 복제 프로세스는 기본 키와 동일한 키 자료로 복제 키를 반환하는 대신 키 자료가 없고 키 상태가PendingImport. 복제본 키를 사용하도록 설정하려면 기본 키로 가져온 것과 동일한 키 재질을 해당 키로 가져와야 합니다.

하지만 키 구성 요소를 복제하지는 않지만AWS KMS는 동일한키 ID,키 사양,키 사용, 및키 구성 요소 오리진을 기본 키로 사용합니다. 또한 복제 키로 가져오는 키 재질이 기본 키로 가져온 키 재질과 동일한지 확인합니다.

가져온 키 재질을 사용하여 복제본 키를 만들려면 다음을 수행하십시오.

  1. 만들기다중 리전 기본 키가져온 키 구성 요소.

  2. 다음 중 하나를 수행하십시오.

    에서AWS KMS콘솔에서 가져온 키 자료가 있는 다중 지역 기본 키를 선택합니다. 그런 다음리전탭에서새 복제본 키 생성. 지침은 복제본 키 생성 (콘솔) 단원을 참조하십시오.

    또는복제 키작업을 수행합니다. 에 대 한KeyId매개변수에 가져온 키 재질이 있는 다중 지역 기본 키의 키 ID 또는 키 ARN 입력합니다. 지침은 복제본 키 생성 (AWS KMSAPI) 단원을 참조하십시오.

  3. 각 새 복제 키에 대 한 단계를 수행 합니다.퍼블릭 키 및 가져오기 토큰 다운로드. 공개 키를 사용하여 기본 키의 키 자료를 암호화한 다음 복제 키에서 기본 키의 키 자료를 가져옵니다. 각 복제본 키에 대해 서로 다른 퍼블릭 키와 가져오기 토큰이 필요합니다.

    복제 키로 가져오려고 하는 키 자료가 기본 키와 키 재질과 같지 않으면 작업이 실패합니다.AWS KMS에서는 만료 모델과 만료 날짜를 조정할 필요가 없지만 다중 지역 키에 대한 비즈니스 규칙을 설정할 수 있습니다. 지침은 AWS Key Management Service(AWS KMS)에서 키 구성 요소 가져오기 단원을 참조하십시오.

가져온 키 자료로 키를 복제할 수 있는 권한

키 구성 요소를 가져와서 복제본 키를 생성하려면 다음과 같은 권한이 있어야 합니다.

기본 키 리전:

  • KMS:복제 키기본 CMK (기본 CMK 지역) 에 있습니다. 기본 CMK의 키 정책 또는 IAM 정책에 이 권한을 포함합니다.

복제본 키 지역에서: